MySQL 认证和鉴权

峰顶风景

这篇笔记主要介绍 MySQL 权限管理的基本概念和常用语句，包括：

• 什么是认证？
  
• 什么是鉴权？
  
• 创建、删除用户语句
  
• 授予、撤销用户权限语句
  
• 创建、删除角色语句
  
• 授予、撤销角色权限语句
  
• 授予、撤销用户角色语句
  

常用这些概念和语句之后，就掌握了 MySQL 权限管理的核心部分，结合官方文档基本可应付日常需求。
什么是认证？

认证就是决定用户是否可以连接 MySQL。
使用预先创建的用户名和密码，尝试连接（本地或远程） MySQL；MySQL 验证用户名和密码，如果用户名存在，且用户名和密码匹配，就表示认证成功，可以连接 MySQL；否则，拒绝连接。
MySQL 的用户名不是普通意义上的用户名，有两部分组成：

• 用户名称：普通意义上的用户名
  
• 机器名称：发起连接的机器名称，可以是 IP 地址或主机名，支持通配符（%）
  

用户名示例
'david'@'localhost'表示用户名为 david，发起连接的机器是本机。
'david'@'198.51.100.109'表示用户名为 david，发起连接的机器 IP 地址为 198.51.100.109。
'david'@'198.51.100.%'表示用户名为 david，发起连接的机器 IP 地址以 198.51.100 开头即可。
'david'@'%'表示用户名为 david，可以使用任意的机器发起连接。
要特别注意，
'david'@'localhost'和
'david'@'remotehost'即使它们的用户名称都是 david，但对于 MySQL 而言，它们是两个不同的用户名。
什么是鉴权？

鉴权就是决定用户连接 MySQL 之后可以执行哪些操作，用户只能执行自己有权限的操作。
操作可以划分为三个类型：

• 管理员操作 创建用户、创建角色、终止数据库实例等全局性的操作。
  
• 数据库和数据库对象操作 对某个数据库的增删查改操作，也包括对这个数据库中的表、索引或视图的增删查改操作。
  
• 数据库对象操作 对某个表、索引或视图的增删查改操作。
  

数据库对象可以理解为数据库中的表、索引或视图等。

用户创建完成之后，还需要由 MySQL 管理员为该用户进行授权，然后这个用户才能连接 MySQL 并执行这些有权限的操作。
用户

创建用户

CREATE USER 'finley'@'localhost' IDENTIFIED BY 'password';
使用 CREATE USER 创建用户；其中，用户名为 finley，机器名为 localhost，密码为 password。
删除用户

DROP USER 'finley'@'localhost';
使用 DROP USER 删除用户。
查看所有用户

SELECT
    user, host
FROM
    mysql.user;

数据表 mysql.user 详情可参考 user。

权限

授予权限

使用 GRANT 为用户授予权限。
GRANT SELECT, INSERT, UPDATE, DELETE
ON customer.addresses
TO 'finley'@'localhost'
WITH GRANT OPTION;
这条语句表示要把数据库 customer 的数据表 addresses 的查询（SELECT）、增加（INSERT）、更新（UPDATE）和删除（DELETE）权限授予给用户 'finley'@'localhost'，而且用户 'finley'@'localhost' 可以把这些权限授予给其他用户。
其中，
SELECT, INSERT, UPDATE, DELETE 是要授予的权限，多个权限之间使用英文逗号（,）分隔，可以使用 ALL 代表全部权限，详细的权限列表可参考 Privileges Provided by MySQL。
customer.addresses 是数据库名称和数据库对象名称，customer 是数据库名称，addresses 是数据库对象名称，两者均支持通配符（*），*.* 表示全部的数据库和数据库对象。
'finley'@'localhost' 是用户。
WITH GRANT OPTION 是可选项，表示授权完成之后，用户可以把已获得的这些权限授予给其他用户。
再看两个例子：
GRANT ALL ON *.* TO 'finley'@'localhost' WITH GRANT OPTION;

GRANT ALL ON bankaccount.* TO 'custom'@'localhost';
撤销权限

使用 REVOKE 为用户撤销权限。
REVOKE INSERT, UPDATE, DELETE
ON customer.addresses
FROM 'finley'@'localhost';
这条语句表示撤销用户 'finley'@'localhost' 在数据库 customer 的数据表 addresses 上的增加（INSERT）、更新（UPDATE）和删除（DELETE）权限。其中，权限、数据库和数据库对象的使用同授予权限。
查看权限

SHOW GRANTS FOR 'finley'@'localhost';
查询用户 'finley'@'localhost' 的授权信息。
角色

MySQL 也支持使用角色来管理权限，主要分为两个步骤：

• 把权限授予角色；
  
• 把角色授予用户；
  

授予完成之后，用户就拥有了角色所拥有的权限。角色代表着一组权限，可以一次性地将多个权限打包授予给用户。
创建角色

使用 CREATE ROLE 创建角色，多个角色使用英文逗号（,）分隔。
CREATE ROLE 'app_developer', 'app_read', 'app_write';
删除角色

使用 DROP ROLE 删除角色，多个角色使用英文逗号（,）分隔。
DROP ROLE 'app_read', 'app_write';
授予/撤销角色权限

角色权限和用户权限的授予/撤销/查看语法是一样的。
授予角色权限
GRANT ALL ON app_db.* TO 'app_developer';
把数据库 app_db 的全部权限授予给角色 app_developer。
GRANT SELECT ON app_db.* TO 'app_read';
把数据库 app_db 的查询权限授予给角色 app_read。
GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write';
把数据库 app_write 的增加、更新和删除权限授予给角色 app_write。
撤销角色权限
REVOKE INSERT, UPDATE ON app_db.* FROM 'app_write';
从角色 app_write 中撤销数据库 app_db 的增加和更新权限。
授予/撤销用户角色

创建用户
CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';

CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';

CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';

CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';
创建用户 dev1@localhost、read_user1@localhost、read_user2@localhost 和 rw_user1@localhost。
授予用户角色
GRANT 'app_developer' TO 'dev1'@'localhost';
把角色 app_developer 授予给用户 dev1@localhost 。
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
把角色 app_read 授予给用户 read_user1@localhost 和 read_user2@localhost。
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';
把角色 app_read 和 app_write 授予给用户 rw_user1@localhost。

注意授予用户角色和授予用户权限的语法区别。

撤销用户角色
REVOKE 'app_write' FROM 'rw_user1'@'localhost';
撤销用户 rw_user1@localhost 的角色 app_write。
结语

MySQL 的权限管理实质就是维护数据库（或数据库对象）的操作权限和用户或角色之间的对应关系。